東船橋病院 情報システムの安全管理規程東船橋病院 情報システムの安全管理規程

(目的)

第1条この規程は、当院が定めた個人情報保護規程に基づく情報システムに関する規程であり、当院従業員はこの規程に従って「個人情報の紛失、破壊、改ざん及び漏えいなどを防止するための適切な情報セキュリティ対策を講じなくてはならない。

(情報セキュリティマナー)

第2条情報セキュリティ対策として、以下の点に注意をして日常業務に当たること。
  1. 秘密情報を記録した書類や記憶媒体は、それを使用しない時、特に業務時間外には、放置したままにしてはならない。施錠できる机の引き出しやキャビネットに保管する。
  2. 不要となった書類を廃棄する時は、必ずシュレッダーにて処理をする。
  3. 帰宅時や外出時に机の上に秘密情報が記録された書類を残さない。
  4. 診療録等は使用が済んだら所定の場所に保管する。
  5. 患者の症状等は当該患者様の診療等の関係者以外には開示しない。
  6. 診療録等の秘密情報は個人情報管理者の許可がない限りコピーしてはならない。
  7. 患者の症状等を電話で話すときは、周辺に部外者がいないか確認する。
  8. 個人情報取り扱い場所に見知らない人がいたら、必ず声をかける。
  9. FAXではダイヤルミスまたは記憶間違いなどにより、間違った番号を呼び出して文書やメッセージを誤配信することに注意する。
  10. 休憩時等に個人情報取り扱い場所に誰もいなくなるような環境をつくらない。

(パソコン利用の基本ルール)

第3条
  1. パソコンの電源を入れたときに通常の表示画面と異なるなど、画面の様子に異常がないか、変わったところがないか、確認する。
  2. 許可なく外部ネットワークへ接続するための通信機器をパソコンに付けない。
  3. 不正に入手したプログラム、使用許諾契約に違反するプログラムをインストールしない。
  4. パソコンは利用者IDとパスワードを入力しなければ利用できないようする。パスワードは生年月日等、安易に想像できるものにしない。
  5. メモにパスワードを書いて壁などに貼らない。最低でも6カ月に1回はパスワードの変更をする。
  6. 暗号化の鍵としてカードなどを用いる場合、この管理・保管に細心の注意をはかる。紛失すると業務に大幅な悪影響が出る。
  7. 出力結果はプリンターからすぐに取り出してください。
  8. 保守のために装置を事務所外に搬送する場合には、秘密情報を完全に消去する。
  9. 個人情報管理者の許可を得ないで秘密情報をCD-R等の可搬媒体にコピーしない。

(コンピュータウィルスの防御)

第4条
  1. コンピュータウィルスや不正ソフトウェアから情報資産を保護するために、事務所内ネットワークに接続するすべてのパソコン(携帯パソコンも含む)には最新のワクチンプログラムを導入しなくてはならない。パソコンを利用するときは、パソコン起動時からメモリーに常駐する形式でワクチンプログラムを稼動させる。
  2. ワクチンソフトは、最新パターンファイル、最新バージョンのプログラムファイルが自動的に配信されるように設定する。(ネットワーク未接続を除く)
  3. コンピュータウィルスによって実害が生じたときは、遅滞なく個人情報管理者に連絡する。
  4. 信頼できないあるいは不明な発信元の電子メール、添付ファイルは開かない。また、信頼される発信元からの添付ファイルであっても、表題などを読んでなりすましでないかを疑い、利用する前にワクチンソフトで検査(ワクチンソフトが自動的にチェックするように設定)をする。
  5. 電子メールのプレビュー設定はしない。
  6. 外部ネットワーク経由で、あるいは、他の媒体よりファイルやソフトウェアを入手する場合には、作成元を確認する。作成元が不明あるいは信頼できない場合には、入手しない事が望ましいが、やむを得ず入手した場合は、利用する前にコンピュータウィルスの検査を必ず行う。

(離席時のセキュリティについて)

第5条
  1. 業務終了時にはセッションを切断する。
  2. パソコンを使用中に長時間離席する場合、処理を終了して画面をクリアーにする。更に、パスワードによる保護対策を実施する。

(携帯用パソコンの運用について)

第6条
  1. 暗号化していない秘密情報を記録した携帯パソコンの事務所外への持ち出しはしない。
  2. 秘密情報を登録した携帯パソコンを手の届かないような場所に放置しない。

(電子情報の管理運用について)

第7条
  1. 秘密情報は特定のコンピュータにだけ記録する。
  2. 公開サーバーに秘密情報を記録してはいけません。
  3. 秘密情報は公開サーバー以外にバックアップしてください。
  4. 更新した秘密情報は1日1回バックアップをしてください。

(秘密情報の送受信・運搬)

第8条
  1. 大量の個人情報の交換は暗号機能付きの電子メールで行う。
  2. 個人情報の可搬媒体による運搬では暗号化して記録する。
  3. 院外に持ち出す場合は二重の封筒に入れて、中の封筒には拾得者に対する依頼事項(届け出てほしい旨および連絡先、氏名を書きます)を書きます。
  4. 郵送するときは簡易書留または配達記録で出す。
  5. レセプト等を国保連合会などへの提出は担当職員が持参する。

(電子メールの利用について)

第9条
  1. 本文中では「半角カナ」文字や特殊文字及び機種依存文字を使わないようにする(文字化けが起き、場合によっては本文全体が読めなくなることもある)
  2. 大きすぎるファイルを送ることは避ける(メールツールによっては、1MBクラスの文書でも受け付けることができないものがある。また、相手方のメールボックスの許容サイズを超えてしまったりして迷惑をかけることがある)
  3. 大きなサイズのファイルや大量のデータを送る場合は、次のような方法を検討し、利用する。
    • ファイルを圧縮して送付
    • ファイルを分割して送付
  4. 他の人の電子メールを転送などにより別の人に送付することを避ける(文書情報の中にはメール宛先の相手以外の人に知られたくないものが含まれている場合もある。また、メールの送付者が、自分が送付したメールを無断で他人に転送されることを不快に思うこともある)
  5. 電子メールは文章が未熟なまま発信してしまう事がよくある。送信する相手だけでなく、他の人が読んでも誤解されないよう、また不快に思われないようなきちんとした文章を作らなくてはいけない。発信する前に一度相手の立場になって読み返す。
  6. 電子メールの送信先について誤りがないか送信時に再チェックしてください。
  7. 表題は具体的に日本語で発信者および内容が一目で分かるように付ける。

(附録)

秘密情報の取り扱いについて

ケースすべきこと物件例
保管施錠できる部屋または施錠できるキャビネット等に保管する。診療録等
コピー原則として禁止。
やむを得ないときは管理者の承諾を得る。
診療録等
ファクシミリによる伝送診療録は原則として禁止。
やむを得ないときは管理者の承諾のもと細心の注意をもって行う。
相手先番号を確認する。
診療録等
電話による会話周囲に患者等の部外者がいないことを確認する。診療録等
廃棄処分(文書情報)シュレッダー処理を行う。
大量の場合は償却・溶解処理を委託する。一度は現場に立ち会い、以後は廃棄証明書を受領することでもよい。
診療録、検査記録、レセプト情報等
廃棄処分(電子情報)ハードディスクの物理的破壊、特別のソフトによって上書きする。
委託する場合は廃棄証明を受領する。
レセプト情報等
研究等のための院外持ち出し原則として診療録等の院外への持ち出しは禁止。
やむを得ないときは管理者の承諾のもと細心の注意をもって行う。
診療録等
診療録等の内容の電子メール送信(ファイル添付)個人名、住所が明記されているものは原則として禁止。診療録等
院外への移転二重封筒を使い、拾得者への依頼事項を内側封筒に付記する。医療費請求の場合は、事務職員が運ぶ。診療録、レセプト情報等
送付簡易書留または配達記録にする。
宅急便の場合は、重要書類もしくは貴重品扱いとする
診療録等
システムに格納されたデータへのアクセス許可アクセス許可を個人単位で承認する。アクセス履歴を記録する。レセプト情報等
個人情報が記録された携帯パソコンの院外持ち出し原則として禁止。暗号化等の事実上開示されない策を講じる。診療録、レセプト情報等
個人情報リストの電子メールでの送信原則として禁止。暗号化する。症例データ、レセプト情報等
外部発表管理者の承諾のもとに行う。
患者による持ち出し台帳およびカルテ、袋に記載する。X線フィルム等